IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Nouvelles fonctionnalités de SNS 3.10.1
La mise à jour d'un firewall depuis une version SNS 3.10.x ou supérieure vers une version SNS 4.0.x ne doit pas être réalisée et n'est pas supportée.
Veuillez-vous reporter à la section Préconisations pour plus d’informations.
Antivirus ClamAV
Un nouveau paramètre mis à disposition par l'éditeur de l'antivirus ClamAV permet de limiter la durée d'analyse antivirale. Ceci ajoute une protection supplémentaire contre les attaques de type bombes de décompression (Zip bombs).
Ainsi, si la durée d'une analyse laisse penser qu'un fichier analysé présente un volume de données excessivement important, celle-ci sera interrompue. L'action effectuée sur le fichier dépend alors de la valeur attribuée au champ "Lorsque l'antivirus ne peut analyser" dans l'onglet Analyse des fichiers des protocoles FTP, HTTP, POP3 et SMTP. Cette valeur est par défaut positionnée sur "Bloquer".
Ce nouveau paramètre, par défaut à 120 secondes, est uniquement modifiable à l'aide de la commande CLI / Serverd :
CONFIG ANTIVIRUS LIMITS MaxProcTime=<time>
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Haute disponibilité
Agrégation de liens LACP
Sur un firewall contenant des agrégats LACP, vous pouvez désormais attribuer un poids à chaque interface de l'agrégat dans le calcul de la qualité de la Haute disponibilité.
Attribuez la valeur 1 au nouveau paramètre LACPMembersHaveWeight des commandes CLI / Serverd suivantes :
CONFIG HA CREATE
CONFIG HA UPDATE
Ceci active l'affichage des interfaces de l'agrégat dans le tableau Impact de l’indisponibilité d’une interface dans l’indicateur de qualité d’un firewall du module Haute disponibilité de l'interface web d'administration.
Sans ces commandes, le comportement par défaut reste le même : l'agrégat est vu comme une seule interface et le basculement du cluster n’a lieu qu'en cas de perte de toutes les interfaces de l’agrégat.
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Perte d'un module réseau
Le calcul de santé qui détermine le basculement d'un nœud à l'autre du cluster a été amélioré afin de mieux prendre en compte la perte d'un module réseau, même après un redémarrage.
Règle de NAT avec publication ARP
Dans une configuration en haute disponibilité (HA), afin de maintenir le routage du trafic, un firewall peut envoyer un Gratuitous ARP (GARP) pour toutes ses interfaces dans le but de notifier le réseau lorsqu'une adresse MAC change d'emplacement.
Ce fonctionnement a été amélioré afin que toutes les adresses IP virtuelles issues d'une Publication ARP d'une règle de NAT envoient un Gratuitous ARP (GARP) lors d'une bascule.
Correspondants mobiles VPN IPsec
Il est désormais possible de supporter plus d'une politique mobile simultanément en distinguant les correspondants par leur identifiant (ID). Ces modifications s'effectuent depuis le module Configuration > VPN > VPN IPsec, onglet Correspondants.
L'utilisation de l'identifiant (ID) permet également de modifier la configuration VPN liée à un correspondant mobile particulier, distingué grâce à son identifiant, sans affecter les tunnels des autres correspondants mobiles.
Certificats et PKI
Génération des certificats
Il est désormais possible de générer des certificats avec de nouveaux algorithmes plus performants à base de courbes elliptiques. Les commandes CLI / Serverd suivantes offrent maintenant le choix de l'algorithme SECP, Brainpool ou RSA :
PKI CA CREATE
PKI CERTIFICATE CREATE
PKI REQUEST CREATE
PKI CA CONFIG UPDATE
Vous devez positionner aussi le paramètre size de ces commandes. Sa valeur doit correspondre à l'algorithme choisi :
| Algorithme | Tailles autorisées |
| RSA | 768, 1024, 1536, 2048, ou 4096 |
| SECP | 256, 384, ou 521 |
| Brainpool | 256, 384, ou 512 |
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Enrôlement des certificats
Les firewalls Stormshield supportent désormais le protocole d'enrôlement de certificats EST (Enrollment over Secure Transport) qui se distingue notamment par l'utilisation de requêtes HTTPS, bénéficiant ainsi de toute la sécurité du protocole TLS.
Sa mise en œuvre sur les firewalls Stormshield permet de réaliser les opérations suivantes :
- Distribution de la clé publique de l'autorité de certification (CA) signant les certificats,
- Requêtes de création ou de renouvellement de certificat à l'initiative de l'administrateur de la PKI,
- Requêtes de création ou de renouvellement de certificat à l'initiative du titulaire du certificat (enrôlement).
Les requêtes de renouvellement peuvent être authentifiées directement par le certificat existant et ne nécessitent donc pas de mot de passe si le serveur EST le permet.
En version SNS 3.10, ces opérations sont exclusivement réalisables à l'aide des commandes CLI / Serverd débutant par :
PKI EST
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Management
Nouveaux indicateurs de santé
Deux nouveaux indicateurs de santé sont disponibles : le premier relatif à la température du CPU, et le second relatif au mot de passe d'administration si celui-ci est trop ancien ou est encore issu de la configuration par défaut.
Stabilité et performances
La synchronisation entre SNS et SMC a été améliorée afin de fluidifier les échanges de données entre les deux produits, notamment lors de l'accès direct à l'interface d'administration des firewalls depuis SMC.
Authentification
Comptes temporaires
Le mot de passe généré automatiquement par le firewall à la création d'un compte temporaire (module Utilisateurs > Comptes temporaires) respecte dorénavant la longueur minimale des mots de passe définie dans la politique de mots de passe du firewall (module Système > Configuration > onglet Configuration générale).
Nouvel SN SSO Agent pour Linux
Un nouvel SN SSO Agent est disponible sous Linux et supporte les annuaires non Windows (par exemple Samba 4). Sa configuration s'effectue dans le module Authentification de l'interface web d'administration et la détection au travers de logs exportés via Syslog. Les logs exportés sont filtrés selon des expressions régulières pré-configurées dans l'interface.
Pour authentifier un correspondant (client ou serveur) en TLS, les firewalls Stormshield acceptent désormais uniquement les certificats disposant du champ Key Usage, c'est-à-dire les certificats conformes à la norme X509 v3.
Sécurité renforcée lors de la mise à jour du firmware
Le niveau de sécurité des mises à jour de firmware a été renforcé : en plus de protéger par signature l'intégrité des packages de mise à jour, Stormshield sécurise désormais les communications avec les serveurs de mise à jour utilisés. Ces communications s'établissent désormais via le protocole HTTPS et le port 443.
Configuration initiale via USB
Dans le cadre de la configuration initiale par clé USB, la commande setconf dispose d'une nouvelle fonctionnalité permettant d'écrire des lignes dans des sections en plus d'écrire des valeurs dans des clés (token). Le format CSV du fichier de commandes a été enrichi pour l'occasion.
Pour plus d'informations concernant la commande setconf, veuillez vous référer à la note technique Configuration initiale par clé USB.
Système
Le générateur aléatoire du noyau nommé arc4random a été modernisé pour se baser non plus sur l'algorithme RC4 mais sur CHACHA20. La mise en œuvre de ce dernier est à la fois plus rapide et plus robuste.
Le système d'exploitation des firewalls a été mis à jour pour actualiser les fuseaux horaires et les heures d'été.
Matériel
Sécurisation matérielle des secrets des VPNs sur les modèles SN3100 compatibles
Depuis la révision A3, les firewalls SN3100 disposent d'un module matériel TPM (pour Trusted Platform Module) dédié à la sécurisation des secrets de VPN. Celui-ci permet d'ajouter un niveau de sécurité pour les SN3100 dédiés à la concentration de VPNs et dont la sécurité physique n'est pas garantie. Cette version 3.10 introduit le support de ce module.
Commandes Serverd
De nouvelles commandes CLI / Serverd permettent de manipuler le TPM. Elles débutent par :
SYSTEM TPM
Il est également possible d'ajouter un paramètre TPM à certaines commandes PKI :
PKI CERTIFICATE CREATE
PKI CERTIFICATE PROTECT
PKI REQUEST CREATE
PKI SCEP QUERY
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Commandes SSH
Une nouvelle commande CLI / SSH permet de manipuler le TPM. Elle débute par :
tpmctl
Elle intègre notamment la possibilité d'approuver les nouveaux registres PCRs (ou Platform Configuration Registers) à la suite d'une mise à jour du BIOS ou de modules matériels.
Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / SSH.